Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA PRATICA

Inventario dei dispositivi hardware e software: regole pratiche e strategie di governance

Realizzare un inventario dei dispositivi hardware e software utilizzati per scopi lavorativi consente alle aziende di gestire al meglio le proprie risorse IT evitando sprechi e, soprattutto, i rischi di possibili cyber attacchi e di cattiva gestione. Ecco come crearlo e gestirlo per mantenerlo sempre aggiornato

02 Gen 2020
D
Amalia De Merich

Responsabile interna Privacy


Parlando del ruolo fondamentale delle policy aziendali per il trattamento dati mediante strumenti ICT occorre comprendere un aspetto che merita di essere precisato, ossia l’inventario dei dispositivi hardware e software sulla rete per consentire alle aziende di gestire al massimo le proprie risorse IT evitando sprechi economici e rischi legali di cattiva gestione.

In questo scenario, un ruolo fondamentale viene ricoperto dall’amministratore di sistema, assunto quale figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise Resource Planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali.

Inventario dispositivi hardware e software: come crearlo

Il primo passo è creare un inventario dei dispositivi hardware e software e adottare una strategia di governance.

Nell’inventario, che deve essere aggiornato periodicamente, saranno indicati non solo i dispositivi fisici (hardware), ma anche i programmi (software) e tutti i sistemi, i servizi e le applicazioni informatiche utilizzate all’interno del perimetro aziendale.

È buona regola fare accedere alla rete aziendale solo i dispositivi autorizzati in modo tale da poter individuare quelli che non lo sono e, di conseguenza, vietarne l’accesso. Per quanto riguarda invece i programmi, le applicazioni e i sistemi informatici in uso forniti da terzi parti (servizi cloud, social network, posta elettronica e spazi web) a cui si è registrati, devono essere ridotti a quelli strettamente necessari per lo svolgimento delle attività d’impresa.

Quando nuovi dispositivi e software sono installati o collegati alla rete è necessario aggiornare immediatamente l’inventario, sul quale devono essere registrate anche le attività funzionali all’impresa (per ogni asset devono essere riportate tutte le tipologie di informazioni trattate) e la gestione della cyber security.

A questo si aggiunge un’analisi valutativa dei sistemi critici per l’impresa che ovviamente devono avere una priorità nell’inventario per l’applicazione di contromisure di sicurezza.

Inventario dispositivi hardware e software: come gestirlo

Per tutti i dispositivi che possiedono un indirizzo IP l’inventario deve indicare i nomi delle macchine, la funzione del sistema, un titolare responsabile della risorsa e l’ufficio associato.

L’inventario deve inoltre includere dispositivi come telefoni cellulari, tablet, laptop e altri dispositivi elettronici portatili che memorizzano o elaborano dati che devono essere identificati, a prescindere che siano collegati o meno alla rete dell’organizzazione.

Nome pcIP AssegnatoSistema operativoDispositivi elettronici portatiliTitolare responsabileUfficio associato

Ecco, quindi, le operazioni da eseguire periodicamente per tenere sempre aggiornato l’inventario:

  1. implementare una “whitelist” delle applicazioni autorizzate, bloccando l’esecuzione del software non incluso nella lista. La “whitelist” può essere molto ampia per includere i software più diffusi;
  2. eseguire regolari scansioni sui sistemi al fine di rilevare la presenza di software non autorizzato;
  3. disattivazione degli account non più utilizzati (password non aggiornate e dati/informazioni importanti);
  4. registrazione a servizi esterni esclusivamente tramite le e-mail aziendali e non con le credenziali personali;
  5. stilare lista completa dei supporti rimovibili (USB) data la diffusa inconsapevolezza nell’utilizzo di tali dispositivi;
  6. capire dai documenti riportanti le condizioni di utilizzo del servizio come e in quale modo i dati aziendali verranno gestiti dai provider dei servizi web (social e cloud);
  7. nominare un responsabile per il coordinamento delle attività di gestione e protezione dei dati/informazioni.

Analisi valutativa dei sistemi critici per l’impresa

Questa fase consiste nell’identificazione e registrazione di una mappatura delle dipendenze tra il dato, informazione, software, dispositivo e sistema con il relativo processo di business.

In questo modo è possibile individuare il grado di criticità di un singolo sistema, dato eccetera e il suo potenziale impatto in caso di incidente di sicurezza sulla totalità del sistema e sugli obiettivi di business dell’azienda.

Per ogni asset vengono individuate tutte le dipendenze tra dato, informazione, software, dispositivo e sistema con il relativo processo di business. Per ogni elemento appartenente all’asset, vengono recuperati ed enumerati i servizi che esso fornisce, tramite l’esplorazione delle relazioni che legano i servizi dell’elemento dell’asset sotto analisi, vengono identificati tutti i componenti di basso livello che in qualche modo contribuiscono a rendere possibile il servizio di alto livello dell’asset.

Vengono quindi associate le vulnerabilità che potenzialmente potrebbero affliggere il componente di basso livello, che quindi vengono propagate all’asset stesso.

Applicando questa procedura siamo quindi in grado di identificare quali vulnerabilità, associate a quali componenti, possono avere un impatto su un asset. Questo tipo di conoscenza consentirà di decidere, in fasi successive del processo di valutazione della sicurezza, se le politiche di sicurezza applicate sono efficaci, di valutare possibili contromisure e di identificare scenari di attacco e di mitigazione. Le vulnerabilità possono essere classificate, ovviamente, a seconda della loro stimata rilevanza. Tale classificazione viene utilizzata anche per identificare un ordine di urgenza nell’applicazione delle contromisure più idonee.

A questo punto è necessario analizzare quali minacce possono utilizzare le vulnerabilità identificate per danneggiare il sistema. Questo è un passo che consente di identificare gli obiettivi di attacco più probabili. L’obiettivo è quello di identificare quali asset, vulnerabili a causa di un insieme di debolezze identificate nella fase precedente, sono esposti a differenti tipi di minacce.

Esempio di possibili agenti di minaccia:

  1. insiders: ossia dipendenti della stessa azienda proprietaria dell’impianto;
  2. crackers;
  3. malware interni;
  4. malware esterni;
  5. gruppi organizzati: hacktivisti, crimine organizzato e via dicendo.

Conclusioni

Una gestione di questo tipo permette di identificare in modo semplice cosa possiede l’azienda, cosa i suoi utenti stanno utilizzando e cosa risulta inutilizzato. Inoltre, permette di perseguire i seguenti obiettivi strategici:

  • ridurre i costi del software e dell’hardware;
  • prevenire rischi di perdita di business;
  • ottimizzare l’attuale investimento software e hardware;
  • mantenere traccia delle versioni software e degli aggiornamenti per prevenire rischi di sicurezza;
  • anticipare future necessità software e hardware;
  • anticipare eventuali minacce.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5